Untersuchung von und Antwort auf Bedrohungen
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Die Funktionen zur Untersuchung und Reaktion auf Bedrohungen in Microsoft Defender for Office 365 helfen Sicherheitsanalysten und Administratoren, ihre organization Microsoft 365 business-Benutzer zu schützen, indem sie:
- Es ist einfach, Cyberangriffe zu erkennen, zu überwachen und zu verstehen.
- Hilfe bei der schnellen Bewältigung von Bedrohungen in Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams.
- Bereitstellen von Erkenntnissen und Wissen, um Sicherheitsvorgängen zu helfen, Cyberangriffe gegen ihre organization zu verhindern.
- Automatisierte Untersuchung und Reaktion in Office 365 für kritische E-Mail-basierte Bedrohungen.
Funktionen zur Untersuchung und Reaktion auf Bedrohungen bieten Einblicke in Bedrohungen und zugehörige Reaktionsaktionen, die im Microsoft Defender-Portal verfügbar sind. Diese Erkenntnisse können dem Sicherheitsteam Ihrer organization dabei helfen, Benutzer vor E-Mail- oder dateibasierten Angriffen zu schützen. Die Funktionen helfen beim Überwachen von Signalen und Sammeln von Daten aus mehreren Quellen, z. B. Benutzeraktivität, Authentifizierung, E-Mail, kompromittierte PCs und Sicherheitsvorfälle. Entscheidungsträger und Ihr Sicherheitsteam können diese Informationen verwenden, um Bedrohungen gegen Ihre organization zu verstehen und darauf zu reagieren und Ihr geistiges Eigentum zu schützen.
Machen Sie sich mit Tools zur Untersuchung und Reaktion auf Bedrohungen vertraut
Die Funktionen zur Untersuchung und Reaktion auf Bedrohungen im Microsoft Defender-Portal unter https://security.microsoft.com sind eine Reihe von Tools und Reaktionsworkflows, die Folgendes umfassen:
Explorer
Verwenden Sie Explorer (und Echtzeiterkennungen), um Bedrohungen zu analysieren, das Volumen der Angriffe im Laufe der Zeit anzuzeigen und Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr zu analysieren. Explorer (auch als Threat Explorer bezeichnet) ist der Ausgangspunkt für den Untersuchungsworkflow jedes Sicherheitsanalysten.
Um diesen Bericht im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zu Email & Zusammenarbeit>Explorer. Oder verwenden Sie , um direkt zur seite Explorer zu wechselnhttps://security.microsoft.com/threatexplorer.
Office 365 Threat Intelligence-Verbindung
Dieses Feature ist nur verfügbar, wenn Sie über ein aktives Office 365 E5- oder G5- oder Microsoft 365 E5- oder G5-Abonnement oder das Threat Intelligence-Add-On verfügen. Weitere Informationen finden Sie auf der Produktseite Office 365 Enterprise E5.
Daten aus Microsoft Defender for Office 365 werden in Microsoft Defender XDR integriert, um eine umfassende Sicherheitsuntersuchung für Office 365 Postfächer und Windows-Geräte durchzuführen.
Vorfälle
Verwenden Sie die Liste Incidents (dies wird auch als Untersuchungen bezeichnet), um eine Liste der In-Flight-Sicherheitsvorfälle anzuzeigen. Incidents werden verwendet, um Bedrohungen wie verdächtige E-Mail-Nachrichten nachzuverfolgen und weitere Untersuchungen und Korrekturen durchzuführen.
Um die Liste der aktuellen Vorfälle für Ihre organization im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen, wechseln Sie zu Incidents & Warnungen>Incidents. Oder verwenden Sie https://security.microsoft.com/incidents, um direkt zur Seite Incidents zu wechseln.
Angriffssimulationstraining
Verwenden Sie Angriffssimulationstraining, um realistische Cyberangriffe in Ihrem organization einzurichten und auszuführen, und identifizieren Sie anfällige Personen, bevor ein echter Cyberangriff Ihr Unternehmen beeinträchtigt. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs.
Um dieses Feature im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zu Email & Zusammenarbeit>Angriffssimulationstraining. Oder verwenden Sie , um direkt zur seite Angriffssimulationstraining zu wechselnhttps://security.microsoft.com/attacksimulator?viewid=overview.
Automatische Untersuchung und Reaktion
Verwenden Sie air-Funktionen (Automated Investigation and Response), um Zeit und Aufwand für die Korrelation von Inhalten, Geräten und Personen zu sparen, die durch Bedrohungen in Ihrem organization gefährdet sind. AIR-Prozesse können immer dann gestartet werden, wenn bestimmte Warnungen ausgelöst werden oder wenn sie von Ihrem Sicherheitsteam gestartet werden. Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Office 365.
Threat Intelligence-Widgets
Im Rahmen des Microsoft Defender for Office 365 Plan 2-Angebots können Sicherheitsanalysten Details zu einer bekannten Bedrohung überprüfen. Dies ist nützlich, um zu bestimmen, ob zusätzliche vorbeugende Maßnahmen/Schritte ergriffen werden können, um die Sicherheit der Benutzer zu gewährleisten.
Wie erhalten wir diese Funktionen?
Microsoft 365-Funktionen zur Untersuchung und Reaktion auf Bedrohungen sind in Microsoft Defender for Office 365 Plan 2 enthalten, der in Enterprise E5 oder als Add-On für bestimmte Abonnements enthalten ist. Weitere Informationen finden Sie unter Defender for Office 365 Spickzettel für Plan 1 im Vergleich zu Plan 2.
Erforderliche Rollen und Berechtigungen
Microsoft Defender for Office 365 verwendet die rollenbasierte Zugriffssteuerung. Berechtigungen werden über bestimmte Rollen in Microsoft Entra ID, im Microsoft 365 Admin Center oder im Microsoft Defender-Portal zugewiesen.
Tipp
Obwohl einige Rollen, z. B. Sicherheitsadministratoren, im Microsoft Defender-Portal zugewiesen werden können, sollten Sie stattdessen entweder die Microsoft 365 Admin Center oder Microsoft Entra ID verwenden. Informationen zu Rollen, Rollengruppen und Berechtigungen finden Sie in den folgenden Ressourcen:
| Aktivität | Rollen und Berechtigungen |
|---|---|
| Verwenden des Microsoft Defender Vulnerability Management Dashboard Anzeigen von Informationen zu aktuellen oder aktuellen Bedrohungen |
Eine der folgenden Varianten:
Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden. |
| Verwenden von Explorer (und Echtzeiterkennungen) zum Analysieren von Bedrohungen | Eine der folgenden Varianten:
Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden. |
| Anzeigen von Vorfällen (auch als Untersuchungen bezeichnet) Hinzufügen von E-Mail-Nachrichten zu einem Incident |
Eine der folgenden Varianten:
Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden. |
| Auslösen von E-Mail-Aktionen in einem Incident Suchen und Löschen verdächtiger E-Mail-Nachrichten |
Eine der folgenden Varianten:
Die Rollen Globaler Administrator* und Sicherheitsadministrator können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden. Die Rolle "Suchen" und "Bereinigen" muss im Microsoft 36 Defender-Portal (https://security.microsoft.com) im Email & Zusammenarbeitsrollen zugewiesen werden. |
| Integrieren von Microsoft Defender for Office 365 Plan 2 in Microsoft Defender for Endpoint Integrieren von Microsoft Defender for Office 365 Plan 2 in einen SIEM-Server |
Entweder die Rolle "Globaler Administrator*" oder "Sicherheitsadministrator", die entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen ist. --- plus --- Eine geeignete Rolle, die in zusätzlichen Anwendungen (z. B. Microsoft Defender Security Center oder Ihrem SIEM-Server) zugewiesen ist. |
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.